|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Firewall - Symantec Endpoint Protection: сетевая атака |
|
|
Firewall - Symantec Endpoint Protection: сетевая атака
|
|
Новый участник Сообщения: 3 |
Доброго времени суток.
Проблема началась несколько дней назад на многих рабочих станциях и на всех роутерах, построенных на WS2003, на которых установлен сабж и заключалась в большой загрузке их процессом smc.exe. В журнале трафика постоянно появляются записи о блокировании сетевых угроз. Работа практически парализована нагрузкой и глюками сети, антивирусы ОС, обновляются постоянно. Пробовал сканировать CureIt`ом с загрузочной флешки, ничего не найдено. Роутеры соединяются между собой через OpenVPN мостом с главным роутером, на каждом стоит трафик инспектор, открыт доступ через RDP На серверах и рабочих станциях так же иногда появляются сообщения и заносятся записи в журнал безопасности, но она идет с рабочих станций (похоже это отношения к делу не имеет): Код:
 Заблокирована атака: [SID: 23179] OS Attack: MSRPC Server Service RPC CVE-2008-4250.Заблокирован трафик для следующего приложния: SYSTEM |
|
|
Отправлено: 05:26, 16-11-2013 |
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать И что тут не понятного?
Сидит у Вас старая малварка и ищет дырку на компах, но зафиксали ее еще в 2008 году. Не верите? Можете поиграть с Metasploit и убедиться что получите ту-же CVE. Или специалисты Symantec наложили не верную сигнатуру на IDS. Насчет остального узнавайте у Symantec, почему они решили блокировать тот или иной трафик. |
|
------- Последний раз редактировалось Rezor666, 16-11-2013 в 08:23. Отправлено: 08:03, 16-11-2013 | #2 |
|
Новый участник Сообщения: 3
|
Профиль | Отправить PM | Цитировать Спасибо за информацию, видимо где то стоит очень древнее железо, но это, как я уже сказал это не главное, а главное то, что заставляет драйвер моста генерировать подозрительный трафик. Как все таки узнать что это за пакеты?
|
|
Отправлено: 19:36, 16-11-2013 | #3 |
|
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать cashmarik, С учетом того что это мост то генерировать может любой хост подключенный к нему.
|
|
------- Последний раз редактировалось Rezor666, 16-11-2013 в 20:03. Отправлено: 19:40, 16-11-2013 | #4 |
|
Новый участник Сообщения: 3
|
Профиль | Отправить PM | Цитировать Интересно то, что исходящие пакеты видимо более низкого уровня (см.рисунок), широковещательные что ли? а входящие, которые тоже блокируются идут уже от известных ip по протоколам UDP. Такая картина наблюдается на всех роутерах и на некоторых рабочих станциях, возможно они заражены чем то или это все таки трафик извне? Удалять антивирус тоже ведь не вариант
 |
|
|
Отправлено: 14:18, 17-11-2013 | #5 |
|
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать cashmarik, Возьмите wireshark и посмотрите что там у Вас, если подозрительного трафика нету то все нормально.
Главный недостаток продуктов с IDS это то что они не показывают детальную информацию о пакетах. |
|
------- Отправлено: 17:24, 17-11-2013 | #6 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Вопрос - Symantec Endpoint Protection bug ? | eXtremer | Защита компьютерных систем | 2 | 11-08-2017 10:31 | |
| Безопасность - Symantec Endpoint Protection 11 | voler | Защита компьютерных систем | 15 | 19-07-2017 12:07 | |
| Антивирусы - Symantec Endpoint Protection | r.carlos | Защита компьютерных систем | 2 | 04-10-2011 14:02 | |
| Symantec Endpoint Protection 11.0.6 | OSZone Software | Новости программного обеспечения | 0 | 18-06-2010 22:30 | |
| Автоустановка Symantec Endpoint Protection | voler | Автоматическая установка приложений | 21 | 11-07-2008 08:17 | |
|
|
Время: 14:16. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
